CISO Advisor: 238.042 page views/mês - 89.507 usuários/mês - 5.291 assinantes

Phishing.jpg

Forcepoint lança alerta global para phishing baseado em Java

Da Redação
28/09/2020

A equipe do X-Labs, o braço de pesquisas da Forcepoint, está lançando um alerta global para os riscos embutidos no Java Network Launch Protocol (JNLP), recurso pouco explorado mas que ajuda a automatizar o download e a execução de malware. Os downloaders de Java, explica comunicado do X-Labs, são uma ameaça conhecida há algum tempo, mas no caso do JNPL a novidade é que ele está sendo aproveitado como nova maneira de executar automaticamente arquivos Java maliciosos. Ele foi concebido para ser um mecanismo simples para iniciar aplicativos Java remotos clicando duas vezes no equivalente a um arquivo Windows Link.

Veja isso
Descoberto ransomware avançado baseado em linguagem Java
Grupo passou 4 meses roubando cartões em sites da Warner Music

Importantes campanhas de phishing que utilizam um anexo JNLP – aberto ou dentro de um arquivo ZIP – começaram a aparecer nas últimas semanas informa a Forcepoint. O X-Labs identificou mensagens destinadas a usuários italianos que parecem vir do INPS (Istituto Nazionale della Previdenza Sociale), que é a principal entidade do sistema público de aposentadorias do país. Coincidência ou não, o site do INPS foi alvo de ataques no início de 2020, quando os cidadãos italianos começaram a se inscrever para receber benefícios por conta da covid-19; mas desta vez o nome e a sigla do órgão estão sendo usados como isca, tamanha é a relevância da organização. Neste caso em específico, o malware encontrado é um cavalo de Tróia bancário, baseado na família de malware Gozi.

Para os italianos, afirmam os pesquisadores, é tentador clicar num link indicado como local para verificação de saldo ou solicitação de benefício, abrindo assim o anexo. Afinal, o logotipo do INPS está na mensagem. No entanto, olhando mais de perto o endereço do remetente, o corpo da mensagem escrita de maneira desajeitada e o anexo, torna-se fácil perceber que é suspeito, contam os pesquisadores. Abrir o anexo JNLP em um editor de texto revela claramente o endereço C2 do primeiro estágio de ação do malware.

Embora esse exemplo de malware em uma ferramenta de lançamento de aplicação Java seja direcionado apenas a IPs italianos (acessar qualquer lugar que não seja um endereço IP italiano fará com que o servidor ignore a solicitação), a técnica não se limita a esta geografia, avisa o X-Labs: “É natural que os cibercriminosos continuem a desenvolver esse ataque, logo podemos esperar ver diferentes iscas usando as mesmas técnicas JNLP para baixar malware”.

O Java Network Launch Protocol ou Java Web Start – como os programadores costumam se referir a ele – é um protocolo que usa a linguagem de marcação XML. Foi projetado com o único propósito de iniciar aplicativos Java automaticamente de um local remoto. Para que isso funcione, o arquivo JNLP deve conter um endereço de host e um caminho até o pacote de aplicativo Java (JAR) de destino, a ser baixado e executado. Depois que o usuário clica duas vezes em um arquivo JNLP, o Java tenta acessar o host descrito na estrutura XML, baixar o pacote JAR especificado e, se for bem-sucedido, executá-lo. O único pré-requisito é a existência do Java Runtime Environment (JRE) no PC local.

“É muito claro que essa funcionalidade oferece uma oportunidade atraente para automatizar o download e a execução de um arquivo malicioso”, afirma Luiz Faro, diretor de engenharia de sistemas da Forcepoint para América Latina.

A Forcepoint está alertando as organizações para que bloqueiem anexos de arquivo JNLP no nível do gateway, para evitar a execução indesejada e suas consequências: “Ter a funcionalidade de inicialização automática em aplicativos ou plataformas populares não significa necessariamente que eles são seguros para uso ou foram criados com a segurança em mente. Provavelmente, eles simplesmente não foram explorados por cibercriminosos ainda”.

Compartilhar: